► Более трети организаций (37%) не владеют актуальной информацией о рисках в сфере информационной безопасности в связи с отсутствием гибкости, достаточных финансовых ресурсов и практических навыков для борьбы с увеличившимся ростом киберпреступности
► Неосведомленность сотрудников в вопросах соблюдения правил информационной безопасности занимает первое место в списке основных уязвимостей, а кража финансовой информации является угрозой №1
► Организациям необходимо постоянно находиться в состоянии повышенной готовности, предугадывая появление новых угроз

Большинство компаний по всему миру (67%) столкнулись с увеличением угроз информационной безопасности, при этом более трети (37%) не обладают пониманием актуальных рисков кибербезопасности, которое необходимо для борьбы с такими угрозами. Это один из ключевых выводов ежегодного международного исследования EY по вопросам информационной безопасности «На шаг впереди киберпреступников», в котором приняли участие 1 825 организаций из 60 стран.

Компаниям не хватает гибкости, финансовых ресурсов и практических навыков для устранения известных уязвимостей и построения эффективной системы кибербезопасности. 43% опрошенных компаний заявили, что в течение ближайших 12 месяцев не планируют увеличивать расходы на информационную безопасность, несмотря на увеличение числа угроз. Это свидетельствует лишь о незначительном улучшении ситуации по сравнению с 2013 годом, когда об отсутствии намерений увеличивать бюджет заявили 46% опрошенных.

Более половины респондентов (53%) назвали нехватку квалифицированных кадров одним из основных препятствий на пути к успешной реализации программы обеспечения информационной безопасности, и только 5% компаний-респондентов указали на наличие в их организационной структуре группы по расследованию инцидентов (Threat Intelligence) с выделенным штатом аналитиков. Данные цифры также демонстрируют незначительное изменение в сравнении с показателями прошлого года, когда на проблему дефицита квалифицированных кадров указало 50% респондентов, а о наличии специальной команды таких аналитиков сообщили 4% опрошенных.

В списке уязвимостей первое место (38%) занимает «неосмотрительность/ неосведомленность сотрудников». Далее в этом перечне идут «устаревшие методы контроля информационной безопасности или ИТ-архитектура» (35%) и «использование среды облачных вычислений» (17%). Тремя основными угрозами стали «кража финансовой информации», «нарушение работы или остановка организации» и «кража интеллектуальной собственности или данных» – на них указали 28%, 25% и 20% респондентов соответственно.

Организациям необходимо улучшить работу по выявлению атак в текущих условиях, когда невозможно предотвратить абсолютно все нарушения информационной безопасности, а количество источников угроз и финансирования атак постоянно растет.

Пол ван Кессел, руководитель международного центра EY по управлению ИТ-рисками, подчеркивает: «Те организации, которые поймут, как предотвратить атаки хакеров, смогут разработать эффективные стратегии по управлению рисками в будущем. Вред от таких атак может иметь долгосрочные последствия не только с финансовой точки зрения. Они также могут подорвать имидж и репутацию организации, обернуться потерей конкурентных преимуществ и повлечь за собой санкции за несоблюдение нормативных требований. Бизнес должен действовать на опережение, чтобы превратиться из легкой мишени для киберпреступников в серьезного противника.

Многие организации до сих пор не заложили фундаментальные основы кибербезопасности. Наряду с отсутствием должного внимания к проблеме со стороны руководства, а также четко прописанных процедур и принципов работы, многие еще не создали оперативных центров службы безопасности. Это вызывает серьезную озабоченность».
Дмитрий Лазученков, менеджер отдела консультационных услуг компании EY в Украине: «Обеспечение кибербезопасности, несмотря на сложную экономическую и политическую ситуацию в Украине, является одним из приоритетов для большинства государственных и коммерческих организаций Украины. Опираясь на опыт сотрудничества с ведущими компаниями, можем сказать, что динамичное развитие информационных технологий приводит к интенсивному росту количества рисков кибербезопасности, а сценарии, методы и инструменты, используемые злоумышленниками, постоянно совершенствуются.

Стоит отметить, что в этом году произошло смещение вектора атак: если ранее большинство организаций считали, что наибольшая угроза исходит изнутри, то теперь первое место занимает внешняя угроза, исходящая от криминальных структур, хакеров и злоумышленников, поддерживаемых государством.

Текущая ситуация в Украине бросает организациям новые вызовы, связанные с информационной безопасностью (ИБ), что отражается на приоритетах ИБ украинских компаний. Обеспечение непрерывности деятельности, обнаружение утечек конфиденциальной информации, управление доступом и реагирование на инциденты являются наиболее актуальными направлениями развития ИБ украинских компаний».

Результаты исследования говорят о том, что компаниям следует воспринимать кибербезопасность как одно из ключевых конкурентных преимуществ. Для этого им необходимо находиться в состоянии повышенной готовности и целенаправленно работать над прогнозированием возможных угроз, избегая, таким образом, позиции «жертвы», вынужденной работать в условиях постоянного стресса. В отчете предлагаются следующие рекомендации для решения этой задачи:
• Готовность к новым угрозам: Вопросы киберугроз/рисков должны стать одним из важнейших пунктов на повестке дня руководства, которому необходимо обеспечить динамичный процесс принятия решений, что позволяет быстро реагировать на угрозу и предпринимать превентивные меры.
• Понимание «ландшафта» угроз: Организациям необходимо исчерпывающее понимание всего спектра угроз в отношении к организации в целом и инвестировать в разведывательную деятельность в части кибербезопасности.
• Ранжирование активов: Организации необходимо четко знать, какие активы, имеют наибольшую ценность для бизнеса, как распределять приоритеты между ними и как их защищать.
• Реагирование на инциденты и критические ситуации: Организациям необходимо на регулярной основе тестировать готовность противостоять угрозам информационной безопасности.
• Обучение и развитие: Расследование компьютерных инцидентов – важнейший элемент головоломки по обеспечению кибербезопасности. Необходимо тщательно изучать данные исследования инцидентов нарушения информационной безопасности и кибератак, привлекая к сотрудничеству существующих и новых партнеров, стратегию работы с которыми необходимо регулярно актуализировать.

«Помимо внутренних угроз, организациям следует внимательнее взглянуть на экосистему своего бизнеса, в том числе на работу с третьими сторонами и вендорами, на предмет их возможного влияния на обеспечение безопасности, – отмечает руководитель международного центра EY по информационной безопасности Кен Аллан. – Инвестиции в информационную безопасность начинают по-настоящему окупаться только после достижения высокого уровня готовности к киберугрозам. За счет поэтапного построения архитектуры информационной безопасности и обеспечения ее гибкости компания сможет заблаговременно вооружиться необходимыми средствами защиты перед лицом потенциальных угроз. Благодаря этому она всегда будет идти на шаг впереди преступников».
Николай Самодаев, партнер, руководитель отдела услуг в области управления информационными технологиями и ИТ-рисками в СНГ, резюмирует ситуацию в России: «Вопросы обеспечения кибербезопасности государственных структур, коммерческих и общественных организаций очень актуальны сегодня. Опыт работы с организациями в России и странах СНГ показывает, что сценарии, методы и инструменты, используемые злоумышленниками, постоянно совершенствуются. Также существенно увеличилось количество разнородных целевых атак, защититься от которых невозможно или чрезвычайно сложно.

Неосведомленность сотрудников в вопросах соблюдения правил информационной безопасности занимает первое место в списке основных уязвимостей в России. На втором месте - угроза стать жертвой мошенничества. По мнению респондентов, меньше всего угроз для корпоративной кибербезопасности исходит из социальных сетей.

Однако некоторые организации все еще полагаются на подходы и практики, которые считались «передовыми» много лет назад. Сложность текущей ИТ-архитектуры вкупе с отсутствием детальной информации по ней лишь усугубляют проблемы обеспечения кибербезопаности для ряда ведущих организаций».

Краткая информация о компании EY
EY является международным лидером в области аудита, налогообложения, сопровождения сделок и консультирования. Наши знания и качество услуг помогают укреплять доверие общественности к рынкам капитала и экономике в разных странах мира. Мы формируем команду выдающихся лидеров, под руководством которых наш коллектив выполняет взятые на себя обязательства. Тем самым мы вносим значимый вклад в улучшение деловой среды на благо наших сотрудников, клиентов и общества в целом.

Сотрудничество с нашей компанией помогает клиентам из СНГ достигать поставленных целей. В настоящее время в 21 офисе нашей компании в Москве, Санкт-Петербурге, Новосибирске, Екатеринбурге, Казани, Краснодаре, Тольятти, Владивостоке, Южно-Сахалинске, Ростове-на-Дону, Алматы, Астане, Атырау, Бишкеке, Баку, Киеве, Донецке, Ташкенте, Тбилиси, Ереване и Минске работают 4800 специалистов.

Название EY относится к глобальной организации и может относиться к одной или нескольким компаниям, входящим в состав Ernst & Young Global Limited, каждая из которых является отдельным юридическим лицом. Ernst & Young Global Limited − юридическое лицо, созданное в соответствии с законодательством Великобритании, − является компанией, ограниченной гарантиями ее участников, и не оказывает услуг клиентам.

Более подробная информация представлена на нашем сайте: ey.com.

Данный пресс-релиз выпущен EYGM Limited, компанией, входящей в состав глобальной организации EY, которая также не предоставляет услуг клиентам.